IT化が進む社会で、IT利活用を推進して間接業務の効率化・生産性の向上を図る企業が増加する一方で、情報化の進展に伴い情報セキュリティリスクが高まり、各社セキュリティ対策が重要な課題となっています。セキュリティリスクには「脅威 」と「脆弱性」の2つの要素がありますが、最大の脅威は「サイバー攻撃」と並んで「内部関係者」による情報漏えいでしょう。

情報セキュリティ対策を推進するには、企業が保有する価値ある情報資産をもとに、組織にどのようなリスクがあるのか(下記「リスク要因の確認事項」参照)を明確にする必要があります。「リスクの種類」言い換えるとリスクを引き起こす要因「脅威」と「脆弱性」について理解し、要因ごとにセキュティ対策を講じることで、情報セキュリティリスクを低減し、セキュリティインシデント対策を強化することが可能になります。

【リスク要因の確認事項】

  • 情報セキュリティインシデントを引き起こす要因
  • どのような影響があるのか
  • 影響の度合い
  • リスク対策

以降、リスクの種類(脅威と脆弱性)について説明します。

目次

情報セキュリティにおける「脅威」の種類

「脅威」は大別すると「人為的脅威」と「環境的脅威(自然災害)」の2つの脅威があり、人為的脅威はさらに「意図的脅威・偶発的脅威」に分類することができます。
また、セキュリティ事象別に分類した場合、「情報漏えい」「情報システムの破壊・データの改ざん」「情報システムの停止」の3つに大別することができます。

情報漏えい

[分類]意図的脅威・偶発的脅威
紛失/置き忘れ、不適切な廃棄、社外へのデータ(書類含む)の持ち出し、メールやFAXの誤送信、Facebook・Twitter・InstagramなどSNS、電話など口頭による会話、退職者による情報漏えい等

情報システムの破壊・データの改ざん

[分類] 意図的脅威・偶発的脅威
悪意ある外部者の攻撃(なりすまし・ウイルス・不正侵入・改ざん・盗聴など)による情報システムの破壊・データの改ざん、人為的ミスによるデータ消失・損傷等

情報システムの停止

[分類] 環境的脅威・意図的脅威・偶発的脅威
地震・火災・台風・洪水などの自然災害や、機器の故障、通信障害・システム障害などによりシステムがダウンして情報システム(サービス)が利用できない状態

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティにおける「脆弱性」の種類

脆弱性は下記3つに大別することができますが、保護対象となる情報資産とその脆弱性と関連する「脅威」を結びつけ、脆弱性が悪用されて脅威が現実とならないようセキュリティ対策を講じる必要があります。

【対象物別】

  • ソフトウェアの欠陥(システム的脆弱性)
  • ハードウェアの欠陥(物理的脆弱性)
  • 人的/管理的脆弱性(情報システムの不適切な運用による脆弱性)

ソフトウェアの欠陥

脆弱性は、「セキュティホール(バグ)」とも呼ばれ、ソフトウェア開発時の不具合(意図しない動作等)が修正されずに残留したものやシステム上の盲点が内在したものです。

また、マルウェアの中にはソフトウェアのセキュティホールを狙って攻撃するウイルスもあります。マルウェアは日々新種が開発されており、「セキュリティ対策ソフトのバージョンが古い」「ウイルス定義ファイルが古い」「ソフトウェアの製品サポートが既に終了していて修正モジュールの提供がない」などの場合は新種のウイルスに対応できず、ソフトウェアの欠陥を放置した状態になりますので非常に危険です。

ハードウェアの欠陥

  ハードウェアには、建物や設備機械、コンピュータ・ネットワーク機器など様々なハードウェアが存在しますが、対象物ごとにその脆弱性は異なります。

a. 建物や設備機械における脆弱性

建物や設備機械における脆弱性には、建物の耐震や耐火構造、設備機器故障、盗難や紛失、建物への不正侵入などの脆弱性(脅威)が内在します。

b.コンピュータやネットワーク機器等における脆弱性

CPUやネットワーク機器(ルーターやスイッチ等)などのハードウェア(ファームウェア含む)においても脆弱性が発見されています。以下に、ベンダー公開の脆弱性を内包したハードウェアについて、下記に情報を掲載します。また、脆弱性対策情報ポータルサイト“JVN”など、国内・海外の脆弱性情報を公表しているサイトもありますので、最新情報を入手すると良いでしょう。

Ex01. CPU関連の脆弱性

「Spectre」と「Meltdown」は、CPUの脆弱性を突いた攻撃で、CPUのキャッシュ情報を不正に読み取る悪意あるプログラムで、多くのコンピュータに影響があります。

Ex02. ベンダー独自技術「Secure Boot」関連の脆弱性

Cisco SystemsのSecure Bootにファームウェア改ざんのリスクがある脆弱性

Ex03.Thrangrycat

Cisco製品の脆弱なデバイスに対し、インターネット経由でも永続的なバックドアーを植え付けることが可能

Ex04.

Intel製のハードウェア、ファームウェア、ソフトに深刻な複数の脆弱性あり
   

情報システムの不適切な運用による脆弱性

a. 人的/管理的脆弱性

情報システム(クラウドサービス含む)やパソコンなどを利用する場合、一般的にログイン時にアカウントを入力しますが、IDやパスワードの杜撰な管理によりパスワードが不正使用され、不正アクセスによる個人情報の流出や不正行為(事件)に巻き込まれたりすることもありますので、アカウントは適切に管理します。

また、ブラウザ等のパスワード自動入力を活用している場合、ハード自体の盗難等により、パスワードが強固なものだとしても、情報漏えいのリスクは大きくなります。

また、情報資産が適切に管理されていない場合、「脅威」に対して対策不十分であることが多く、情報セキュリティにおける社内ルールの不備、社員(管理職含む)の情報リテラシーの低さなどは情報システムの不適切な運用に繋がり、セキュリティの脆弱性が大きな問題に発展する要因になります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ